攻击面分析方法和装置与流程

本技术涉及网络安全，尤其涉及攻击面分析方法和装置。

背景技术：

1、随着计算机网络技术的不断发展，计算机网络系统的安全问题变得越来越严重，其中，单独的针对某个方面的攻击分析已经不再适应日益复杂的网络防御，在网络防御中针对攻击面的分析显得越来越重要。攻击面分析可以为后续的威胁评估、漏洞管理、安全策略指定、资源分配、合规性处置、威胁检测等流程提供必要的支撑和决策依据。

2、传统地，在进行攻击面分析时，通常是基于多种背景技术评估系统和网络的潜在威胁进行分析的，例如，可以采用漏洞扫描与评估、漏洞管理等方式实现。

3、然而，采用上述方式进行攻击面分析时存在效率及准确性较低的问题。

技术实现思路

1、本技术旨在至少解决现有技术中存在的技术问题，为此，本技术第一方面提出一种攻击面分析方法，该方法包括：

2、获取当前网络流量数据；

3、将当前网络流量数据输入至预设攻击面分析模型中进行计算，生成与当前网络流量数据对应的分析结果；其中，预设攻击面分析模型是对预设风险评估子模型、预设攻击链路子模型及预设漏洞优先级子模型进行融合后得到的。

4、在一种可能的实施方式中，将当前网络流量数据输入至预设攻击面分析模型中进行计算，生成与当前网络流量数据对应的分析结果，包括：

5、将当前网络流量数据输入至预设攻击面分析模型中，采用预设攻击面分析模型中的预设风险评估子模型对当前网络流量数据进行计算，生成第一处理结果；其中，第一处理结果包括当前网络流量数据对应的风险值；

6、采用预设攻击面分析模型中的预设攻击链路子模型对当前网络流量数据进行计算，生成第二处理结果；其中，第二处理结果包括当前网络流量数据对应的攻击链路；

7、采用预设攻击面分析模型中的预设漏洞优先级子模型对当前网络流量数据进行计算，生成第三处理结果；其中，第三处理结果包括当前网络流量数据对应的综合漏洞优先级；

8、基于第一处理结果、第二计算结果及第三计算结果，生成与当前网络流量数据对应的分析结果。

9、在一种可能的实施方式中，基于第一处理结果、第二计算结果及第三计算结果，生成与当前网络流量数据对应的分析结果，包括：

10、获取当前网络流量数据对应的多个网络实体；

11、基于各网络实体对第一处理结果、第二计算结果及第三计算结果进行关联处理，生成关联结果；

12、基于第二计算结果中的攻击链路，将与攻击链路对应的第一处理结果及第三计算结果进行存储，生成存储结果；

13、基于关联结果及存储结果，得到与当前网络流量数据对应的分析结果。

14、在一种可能的实施方式中，采用预设攻击面分析模型中的预设风险评估子模型对当前网络流量数据进行计算，生成第一处理结果，包括：

15、获取当前网络流量数据对应的当前网络实体相关信息；

16、基于当前网络实体相关信息，计算各网络实体对应的实体相似风险、实体网络风险及实体资产风险；其中，实体相似风险用于表征当前网络实体相关信息与威胁情报中的预设网络实体相关信息之间的相似度，实体网络风险用于表征当前网络实体相关信息与预设黑名单之间的接近程度，实体资产风险用于表征网络实体的多个资产属性的风险；

17、获取与实体相似风险对应的第一权重、与实体网络风险对应的第二权重及与实体资产风险对应的第三权重；

18、基于第一权重、第二权重及第三权重对实体相似风险、实体网络风险及实体资产风险进行融合处理，生成第一处理结果。

19、在一种可能的实施方式中，采用预设攻击面分析模型中的预设攻击链路子模型对当前网络流量数据进行计算，生成第二处理结果，包括：

20、获取当前网络流量数据对应的当前网络实体相关信息及多个攻击链路；

21、基于当前网络实体相关信息，计算各网络实体对应的实体网络风险；其中，实体网络风险用于表征当前网络实体相关信息与预设黑名单之间的接近程度；

22、针对各攻击链路，基于实体网络风险计算攻击链路的风险值；

23、基于各攻击链路及攻击链路的风险值，得到第二处理结果。

24、在一种可能的实施方式中，采用预设攻击面分析模型中的预设漏洞优先级子模型对当前网络流量数据进行计算，生成第三处理结果，包括：

25、获取当前网络流量数据对应的当前网络实体相关信息；

26、基于当前网络实体相关信息，计算各网络实体对应的重要程度值；

27、针对各网络实体，基于重要程度值及预设漏洞风险值，计算网络实体对应的漏洞值；

28、对多个漏洞值进行归一化及排序处理后，生成第三处理结果。

29、在一种可能的实施方式中，预设攻击面分析模型的构建过程，包括：

30、对预设风险评估子模型、预设攻击链路子模型及预设漏洞优先级子模型进行融合处理，生成中间攻击面分析模型；

31、对中间攻击面分析模型进行封装处理，生成预设攻击面分析模型。

32、本技术第二方面提出一种攻击面分析装置，该装置包括：

33、获取模块，用于获取当前网络流量数据；

34、生成模块，用于将当前网络流量数据输入至预设攻击面分析模型中进行计算，生成与当前网络流量数据对应的分析结果；其中，预设攻击面分析模型是对预设风险评估子模型、预设攻击链路子模型及预设漏洞优先级子模型进行融合后得到的。

35、在一种可能的实施方式中，上述生成模块具体用于：

36、将当前网络流量数据输入至预设攻击面分析模型中，采用预设攻击面分析模型中的预设风险评估子模型对当前网络流量数据进行计算，生成第一处理结果；其中，第一处理结果包括当前网络流量数据对应的风险值；

37、采用预设攻击面分析模型中的预设攻击链路子模型对当前网络流量数据进行计算，生成第二处理结果；其中，第二处理结果包括当前网络流量数据对应的攻击链路；

38、采用预设攻击面分析模型中的预设漏洞优先级子模型对当前网络流量数据进行计算，生成第三处理结果；其中，第三处理结果包括当前网络流量数据对应的综合漏洞优先级；

39、基于第一处理结果、第二计算结果及第三计算结果，生成与当前网络流量数据对应的分析结果。

40、在一种可能的实施方式中，上述生成模块还用于：

41、获取当前网络流量数据对应的多个网络实体；

42、基于各网络实体对第一处理结果、第二计算结果及第三计算结果进行关联处理，生成关联结果；

43、基于第二计算结果中的攻击链路，将与攻击链路对应的第一处理结果及第三计算结果进行存储，生成存储结果；

44、基于关联结果及存储结果，得到与当前网络流量数据对应的分析结果。

45、在一种可能的实施方式中，上述生成模块还用于：

46、获取当前网络流量数据对应的当前网络实体相关信息；

47、基于当前网络实体相关信息，计算各网络实体对应的实体相似风险、实体网络风险及实体资产风险；其中，实体相似风险用于表征当前网络实体相关信息与威胁情报中的预设网络实体相关信息之间的相似度，实体网络风险用于表征当前网络实体相关信息与预设黑名单之间的接近程度，实体资产风险用于表征网络实体的多个资产属性的风险；

48、获取与实体相似风险对应的第一权重、与实体网络风险对应的第二权重及与实体资产风险对应的第三权重；

49、基于第一权重、第二权重及第三权重对实体相似风险、实体网络风险及实体资产风险进行融合处理，生成第一处理结果。

50、在一种可能的实施方式中，上述生成模块还用于：

51、获取当前网络流量数据对应的当前网络实体相关信息及多个攻击链路；

52、基于当前网络实体相关信息，计算各网络实体对应的实体网络风险；其中，实体网络风险用于表征当前网络实体相关信息与预设黑名单之间的接近程度；

53、针对各攻击链路，基于实体网络风险计算攻击链路的风险值；

54、基于各攻击链路及攻击链路的风险值，得到第二处理结果。

55、在一种可能的实施方式中，上述生成模块还用于：

56、获取当前网络流量数据对应的当前网络实体相关信息；

57、基于当前网络实体相关信息，计算各网络实体对应的重要程度值；

58、针对各网络实体，基于重要程度值及预设漏洞风险值，计算网络实体对应的漏洞值；

59、对多个漏洞值进行归一化及排序处理后，生成第三处理结果。

60、在一种可能的实施方式中，上述攻击面分析装置还用于：

61、对预设风险评估子模型、预设攻击链路子模型及预设漏洞优先级子模型进行融合处理，生成中间攻击面分析模型；

62、对中间攻击面分析模型进行封装处理，生成预设攻击面分析模型。

63、本技术第三方面提出一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的攻击面分析方法。

64、本技术第四方面提出一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的攻击面分析方法。

65、本技术实施例具有以下有益效果：

66、本技术实施例提供的攻击面分析方法，该方法包括：获取当前网络流量数据，将当前网络流量数据输入至预设攻击面分析模型中进行计算，生成与当前网络流量数据对应的分析结果；其中，预设攻击面分析模型是对预设风险评估子模型、预设攻击链路子模型及预设漏洞优先级子模型进行融合后得到的。本方案可以直接通过预先训练得到的预设攻击面分析模型对当前网络流量数据进行分析，提高了进行攻击面分析的准确性及效率；另外，通过构建预设攻击链路子模型，可以更好的理解攻击实现过程，对威胁和风险的可视化具有较强的意义，并且，通过为漏洞分配优先级，可以优先聚焦优先级更高的漏洞，在资源有限的情况下，可以优先修复更高优先级漏洞，提升模型综合效果和现实价值。